YetAnotherForum
Willkommen, Gast! Suche | Aktive Themen | Einloggen | Registrieren

VLC Player 3.0.7: So viele Sicherheitslücken wie noch nie geschlossen
pc-chaot
#1 Geschrieben : Mittwoch, 12. Juni 2019 10:21:20
Rang: Administration


Gruppe: Moderator, Tester, Administrators, Registered

Mitglied seit: 23.01.2010
Beiträge: 14.494
Wohnort: zu hause
In der aktuellen Version haben die VLC-Entwickler dank eines europäischen Bug-Bounty-Programms mehr als 30 Sicherheitsprobleme beseitigt.

Wer Videos mit dem VLC Player abspielt, sollte zügig die neue Version installieren. In der aktuellen Ausgabe 3.0.7 haben die Entwickler eigenen Angaben zufolge 33 Sicherheitslücken geschlossen – so viele Schwachstellen wurden bislang noch noch nie in einem Release beseitigt.

Einem Beitrag von einem Entwickler zufolge sind zwei davon mit dem Bedrohungsgrad "hoch" eingestuft. Aber nur eine von den Lücken betrifft den Versionsstrang 3.0.x. Die andere macht die noch nicht veröffentlichte Ausgabe 4.0 verwundbar. Nutzen Angreifer die Schwachstellen aus, sollen Speicherfehler die Folge sein. So etwas ist meist die Voraussetzung für das Ausführen von Schadcode.

21 Lücken sind mit "mittel" eingestuft. Auch hier könnten Speicherfehler Computer gefährden. Dem Entwickler zufolge soll hier aber in vielen Fällen der Address-Space-Layout-Randomization- Schutzmechanismus (ASLR) von Betriebssystemen Schadcode-Angriffe vereiteln. Der Player könnte aber durchaus abstürzen (DoS-Attacke).

Bug-Bounty-Programm

Alle Lücken haben Sicherheitsforscher im Zuge eines von Free Open Source Software Analysis (FOSSA) mitinitierten Bug-Bounty-Programms entdeckt. Dabei handelt es sich um ein Projekt der EU. Das Programm läuft auf der Bug-Bounty-Plattform Hackerone. Bis dato wurden darüber Prämien in Höhe von mehr als 34.000 US-Dollar ausgezahlt.

Hintergrund der Untersuchung ist, dass das Europäische Parlament die Sicherheit seine IT-Infrastruktur verbessern will. Dafür haben sie ein Budget für FOSSA freigegeben. Im EU-Parlament kommt diverse Open-Source-Software zum Einsatz. Derzeit ist das Programm geschlossen und es ist unbekannt, zu welchem Zeitpunkt es wieder aufgenommen wird.

QUELLE mit Links

Informationen über meine Test-Umgebungen <--- im Beitrag #4, auch mit den getesteten Betriebssystemen
In meinen Nachrichten-Quellen befinden sich (fast) immer weiterführende Links, Bilderstrecken und Videos!
Weitere Meldungen aus dem IT-Bereich findet Ihr unter heise.de und winfuture.de
Ist man in kleinen Dingen nicht geduldig, bringt man die großen Vorhaben zum Scheitern. (Konfuzius)


mfG --pc-chaot--
Benutzer, die gerade dieses Thema lesen
Guest
Das Forum wechseln  
Du kannst keine neue Themen in diesem Forum eröffnen.
Du kannst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge nicht löschen.
Du darfst deine Beiträge nicht editieren.
Du kannst keine Umfragen in diesem Forum erstellen.
Du kannst nicht an Umfragen teilnehmen.

YAFPro Theme Created by Jaben Cargman (Tiny Gecko)
Powered by YAF | YAF © 2003-2009, Yet Another Forum.NET
Diese Seite wurde in 0,195 Sekunden generiert.